Перейти к содержанию
Don't.Care.A.Fig

Антируткиты (Antirootkits)

Recommended Posts

sceptic

Господа, объясните пожалуйста что это?:

1LL7TiH5xa.jpg

и что делать ( не делать) с этим результатом?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Господа, объясните пожалуйста что это?:

...

и что делать ( не делать) с этим результатом?

Это скриншот RkU по кривой ссылке.

Обычно выкладывают хотя бы его полный лог.

Для начала можно глянуть на то, кому принадлежит этот адрес.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alisa_sh
Господа, объясните пожалуйста что это?:

1LL7TiH5xa.jpg

и что делать ( не делать) с этим результатом?

сдампить эти регионы и посмотреть код, вестимо.

может быть все что угодно, от левого кода до потрохов KAV (последний опознается по специфическим pool tag'ам в коде).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

Kernel Detective - это бесплатная утилита для детекта и анализа, ручной модификации и восстановления изменений в ядре Windows NT.

kd.gif

Version 1.3.0

[+] Support for Vista SP2

[+] Suspend/Resume Process/Thread

[+] Force Resume Process/Thread

[+] Unloaded drivers viewer

[+] Object Types viewer

[+] Timer Objects viewer

[+] Kernel Notification Callbacks viewer (Process/Thread/Image/Registry)

[+] Added simple hex viewer with the disassembler

[+] Force Delete files (even files in use)

[+] File Signature Verifying

[+] Ability to save list contents

[*] Improved Hidden Drivers Detection

[*] Improved disassembler coloring

[!] Fixed annoying problem with listview sorting and refreshing

[!] Fixed known minor bugs in v1.2.1

Version 1.2.1

Now Support Vista Service Pack 1 (Build 6001) .

[+] Added Hidden/Suspicious Threads Detection .

[+] Added Smart Process Termination Technique .

[*] Improved Handles Detection .

[*] Improved Processes Detection .

[*] Improved Drivers Detection .

[*] Improved User-mode Memory Reader On Vista .

[!] Fixed bug in IAT Hooks Detection

post-4003-1247581973_thumb.png

Отредактировал dr_dizel

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
анализ virustotal.com

Это нормально, кстати, для программ, которые что-то умеет. Потом - скорее всего реакция на упаковщик... :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vovan7777

http://www.avirus.ru/content/view/110/116/

http://www.avira.com/en/support/support_downloads.html

копируем на диск(каждый день новая сборка я так понял)

потом выставляем в BIOS старт с CD-ROM и под пингвиненком проверяет.

бесплатная новинка от AVIRA.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Не забываем проверять тему - сообщения обновляются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Б..
Не забываем проверять тему - сообщения обновляются.

А есть что нибудь новенькое???

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
А есть что нибудь новенькое???

Можно посмотреть:

Radix

Malware Defender

Atool

Kx-Ray

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
georgy_n

Malware Defener - точно не антируткит :)

Что-то ты ее, дружище, и в HIPS и в Firewalls, а теперь и сюда....

НО: мое мнение - штука классная / удобная / нужная, 40$ не жалко за приобретение - согласен :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Malware Defener - точно не антируткит :)

Ну, если даже не ставить, а почитать по ссылке про возможности:

Detects hidden processes and threads.

Detects hidden kernel modules and kernel threads.

Detects and removes system service table hooks (SSDT hooks).

Detects and removes Win32k service table hooks (shadow SSDT hooks).

Detects and removes interrupt descriptor table hooks (IDT hooks).

Detects and removes SYSENTER handler hook.

Detects and removes kernel object hooks.

Detects and removes kernel notify routines.

Detects and removes kernel mode code hooks.

Detects and removes user mode code hooks.

Detects and removes global message hooks.

Detects hooked driver dispatch routines (IRP hooks).

То что тогда антируткит в вашем понимании?

А то, что он ещё ко всему прочему и hips и firewall - очень даже хорошо.

md_screenshot6.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Black_Z

Лично я отдаю предпочтение GMER я думаю, что это достойная программа для для обнаружения руткитов, кстати вышла версия 1.0.15.14966

B)

http://www.gmer.net/files.php

Отредактировал Black_Z

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

А что скажете о DwShark?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
А что скажете о DwShark?

ссылку в студию, нашел пару упоминаний про нее в инете, а где скачать так и не обнаружил..=))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
ссылку в студию

Увы, ссылки у меня нет. Вендор пока не предоставил её в свободное пользование. Только слухи. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
Увы, ссылки у меня нет. Вендор пока не предоставил её в свободное пользование. Только слухи.

ну а чего о нем тогда говорить=))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sl1

Скорее всего есть уже свежее, а может вообще что-то изменилось. Давно качал с сайта веба, но теперь лазейку закрыли.

DwShark.zip

DWShark_ru_pdf.zip

DwShark.zip

DWShark_ru_pdf.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
Давно качал с сайта веба, но теперь лазейку закрыли.

Не работает при активном спайдере видать из-за подобности шилда.

Всё что бросает в темп - не подписано, что есть нехорошо. :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
ну а чего о нем тогда говорить=))

Ну я то им пользуюсь, и как видно выше и другие уже тоже. ;)

И это точно анти-руткит.

Не работает при активном спайдере видать из-за подобности шилда.

При первом запуске идёт неполная загрузка. Повторите запуск и всё будет работать.

Работает при любых активных ав-мониторах.

В безопасном режиме тоже работает, но не всё. Зато ручная чистка возможна.

Всё что бросает в темп - не подписано, что есть нехорошо.

Зато есть MBR-браузер и при желании можно извлечь любой файлик хоть откуда.

У меня тоже прошлогодняя, но версия 1.0.0.200812040, хотя внешне они одинаковы.

Думаю, скоро будет новая версия, где ваши пожелания будут учтены и инструментарий расширится. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
При первом запуске идёт неполная загрузка. Повторите запуск и всё будет работать.

Работает при любых активных ав-мониторах.

er.gif

Неа. Вот такая фигня при каждом запуске какбэ намекает, что есть конфликт со спайдером или защитой.

Думаю, скоро будет новая версия, где ваши пожелания будут учтены и инструментарий расширится. :)

Я так понял, что шарк будет входить модулем в один из продуктов. Но это скорее всего будет одновременно с выходом нового сканера.

post-4003-1238404210.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu

Как понимаю тулка не работает корректно на Windows 7 просто -))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego1st
Я так понял, что шарк будет входить модулем в один из продуктов. Но это скорее всего будет одновременно с выходом нового сканера.

sww когда работал в др.веб вроде говорил что отдельный антируткит просто будет..

на 100% утверждать не буду, но вроде мелькало это где-то на форуме=))

прикольно=))

AntiVir 7.9.0.129 2009.03.30 TR/Agent.bsph

Avast 4.8.1335.0 2009.03.29 Win32:Trojan-gen {Other}

BitDefender 7.2 2009.03.30 MemScan:Trojan.Generic.1558651

GData 19 2009.03.30 MemScan:Trojan.Generic.1558651

Ikarus T3.1.1.48.0 2009.03.30 Trojan.Generic

Kaspersky 7.0.0.125 2009.03.30 Trojan.Win32.Agent.bsph

McAfee+Artemis 5568 2009.03.29 Generic!Artemis

особенно каспер радует=))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Black_Z
Скорее всего есть уже свежее, а может вообще что-то изменилось. Давно качал с сайта веба, но теперь лазейку закрыли.

Прикрепленные файлы

DwShark.zip ( 977.46 килобайт ) Кол-во скачиваний: 2

DWShark_ru_pdf.zip ( 403.49 килобайт ) Кол-во скачиваний: 4

Спасибо, интересный продукт...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

dr_dizel

Именно это у меня выходило в первый раз на XP и в безопасном режиме.

Если постоянно выходит, то может некая несовместимость с W7 и есть, т.к. она вышла до появления W7.

А может что не в порядке с самим MBR HDD или с разделами диска. :)

Recovery-раздел никакой не остался после Vista, Акрониса?

Вообще-то это пока закрытый продукт и в общий доступ его лучше не выкладывать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×